Это не прямой ответ на Ваш вопрос, но существует несколько вещей, которые можно сделать для смягчения против этого риска. Самый простой должен проверить Ваши загруженные пакеты по контрольным суммам от другого зеркала, чем Вы загрузили с.
Когда мой диспетчер пакетов (poldek
) загружает пакет, у меня есть он набор для хранения копии загруженного об/мин в папке кэша. Это автоматически проверяет контрольную сумму загрузки против хранилища пакетов и предупреждает/прерывает о несоответствии, но если бы Вы волновались по поводу man-in-the-middle, на который нападают против Вашего репозитория дистрибутива, то было бы легко записать вторичный сценарий, который просмотрел все Ваши загруженные пакеты, и проверьте их против контрольных сумм, которые Вы загружаете с другого зеркала. Можно даже выполнить первую установку как пробный прогон так, чтобы пакеты были загружены, но не установили, затем запустили скрипт проверки, затем сделайте фактическую установку.
Это не мешает поставленному под угрозу пакету войти в репозиторий дистрибутива, но большинство дистрибутивов имеет другие способы смягчить это, и даже подписанные пакеты не гарантировали бы, что это никогда не было проблемой. То, что это действительно делает, душат целенаправленный вектор атаки "человек посередине". При помощи отдельного источника и загружающий на отдельном канале, Вы уничтожаете простоту, с которой поставленный под угрозу пакет мог быть брошен в коснувшуюся строку.
Можно уменьшить существующую файловую систему и раздел для создания места для других разделов, затем скопировать файлы. Большинство файловых систем не может быть уменьшено, в то время как они смонтированы, также - это с живого CD/USB, такого как Ваше распределение или GParted живой CD (живой CD, выделенный разделению) или SystemRescueCD (общее системное администрирование, и спасите живой CD).
Я, однако, не рекомендую делать /boot
отдельный раздел. Создание /boot
отдельный только полезно, если Вашей системе начальной загрузки не может удаться загрузить ядро из Вашего корневого раздела. Типичные обстоятельства, при которых это происходит,
Если Ваша система может уже загрузиться с ядром на корневом разделе, нет ничего, чтобы быть полученным путем создания отдельного раздела начальной загрузки.
Если Вы действительно решаете создать отдельный раздел начальной загрузки — или, в этом отношении при слиянии существующего раздела начальной загрузки на корневой раздел существует немного больше к нему, чем просто копирование файлов. Когда ПК загружается, BIOS загружает загрузочный сектор (первые 512 байтов загрузочного диска) в память. Нет достаточного количества комнаты там для помещения целого драйвера файловой системы, поэтому что делает тот код должен загрузить больше кода из местоположения, это хранится в загрузочном секторе. Если Вы перемещаете тот код к другому разделу, необходимо обновить то местоположение. Вы, возможно, должны обновить конфигурационный файл своего загрузчика также.
update-grub
(например, Debian или Ubuntu), выполняет его. Иначе отредактируйте конфигурационный файл (/boot/grub/menu.lst
для Личинки 1 или /boot/grub/grub.cfg
для Личинки 2) и обновления устройство, от которого Личинка найдет ядро. (С Личинкой 2, можно быть нечего делать, поскольку она может найти ядро автоматически во время выполнения.) В любом случае, также выполненном grub-install /dev/sda
.lilo
.Я не попробовал его, но копирование "/начальная загрузка" должно работать. Обязательно также отредактируйте Ваш "/etc/fstab" соответственно. Я использовал бы некоторую другую систему (например, живой диск), чтобы сделать это, так как я не знаю, как изменить размер живого раздела (если это даже возможно/желательно). Кроме того, оставьте новый раздел начальной загрузки как первый раздел ("/dev/sda") для предотвращения unbootability.
/boot
в отдельном разделе. Это не для всех, но это имеет несколько преимуществ. Обновления дистрибутива могут быть протестированы путем вращения корневой файловой системы, в то время как все еще использование попробовало и истинные ядра, настроенные для той системы (я использую главным образом пользовательские скомпилированные ядра для каждой системы)./boot
раздел может быть небольшим и из пути. Используя LVM легко переместить корневую файловую систему вокруг, не вызывая беспокойство о повреждении загрузчика. Можно также сохранить минимальную спасательную файловую систему на том же разделе с busybox и некоторыми инструментами для фиксации чего-либо, что идет не так, как надо с основной корневой файловой системой. – Caleb 27.07.2011, 22:30/boot
разделы, когда я имел к должному к более старым BIOS или Grub1 с корнем на LVM, но я был рад, когда я мог остановиться. – Gilles 'SO- stop being evil' 27.07.2011, 23:22grub1
; не потому что я имею к серовато-синему, просто потому что я не потрудился учиться, и мое обновление ядра/configure/compile/install (включая автоматические конфигурации личинки обновления с полной способностью регрессировать к любому ядру и pxe/tftp/netboot сценариям для десятков машин на трех континентах) полностью автоматизировано единственным сценарием, который я должен был бы преподаватьgrub2
тому после того, как я изучил это сам. – Caleb 27.07.2011, 23:35